윈도우 서버 W-14 IIS 불필요한 파일 제거

윈도우 서버 W-14 IIS 불필요한 파일 제거

항목중요도 : 상

1. 취약점 개요

▶ 점검내용 : IIS 설치 시 기본적으로 제공되는 불필요한 파일 제거 여부 점검

▶ 점검목적 : IIS 서비스 설치 시 기본으로 설치되는 예제 스크립트, 설명서, 샘플 애플리케이션, 디렉토리 등 서비스에 불필요한 IIS 모듈을 제거하여 불필요한 공격 대상으로 이용되는 것을 방지하기 위함

▶ 보안위협

 · IIS 서비스 설치 시 기본적으로 제공 되는 파일 및 디렉토리를 제거하지 않을 경우, 해당 파일들로 인해 공격 대상으로 이용되거나 백도어가 심어질 위험이 존재함

▶ 참고

-

2. 점검대상 및 판단 기준

▶  대상 :  Windows 2000, 2003

▶  판단기준

 · 양호 : 해당 웹 사이트에 IISSamples, IISHelp 가상 디렉토리가 존재하지 않는 경우

 · 취약 : 해당 웹 사이트에 IISSamples, IISHelp 가상 디렉토리가 존재하는 경우
              ※ 조치 시 마스터 속성과 모든 사이트에 적용함

▶  조치방법 : 사용하지 않는 경우 IIS 서비스 중지, 사용할 경우 가상 디렉토리 삭제

3. 윈도우서버 초기 설정값

※ 테스트한 윈도우 서버의 버전은 windows server 2022 입니다.

 

확인방법

1)  Sample 디렉토리 확인 후 삭제합니다.
c:\inetpub\iissamples
c:\winnt\help\iishelp (IIS 설명서)
c:\program files\common files\system\msadc\sample (데이터 액세스)
%SystemRoot%\System32\Inetsrv\IISADMPWD

 

이 항목은 윈도우서버 2000, 2003 기준입니다. 이 서버를 사용하고 계시는 분이 없지 않을까 싶습니다.

혹시라도 가지고 계시다면 서버를 교체하시거나, 폐쇄망에서만 사용을 하셔야 할 것같습니다.

 

저의 서버는 해당없음, 양호로 구분하면 될것같습니다.

 

4. 조치

 

조치방법은 

 

c:\inetpub\iissamples
c:\winnt\help\iishelp (IIS 설명서)
c:\program files\common files\system\msadc\sample (데이터 액세스)
%SystemRoot%\System32\Inetsrv\IISADMPWD

 

여기가상디렉토리를 전부 삭제해 주면됩니다.

 

5. 결과

windows server 2022는  IIS 10.0이므로 해당없음 또는 양호

 

IIS 버전확인 방법은

IIS 관리자 페이지에서 도움말 -> 인터넷 정보 서비스 정보 를 클릭하면 됩니다.

 

 

윈도우서버를 마스터하는 그날까지

화이팅!